Dat werkt alleen maar voor de appleid.apple.com pagina.. Als iemand je wachtwoord heeft kan die nog steeds bij je backups, data, contacten op icloud.com.
Timosha
Brute Force? In de readme.md van het script lees ik :”Password list was generated from top 500 RockYou leaked passwords”. Die staan in passlist.txt.
En als ik in id_brute.py kijk dan doet dat script op het eerste zicht toch niet veel meer dan passlist.txt en mails.txt lezen.
Neemt niet weg dat Apple ook in “Find my iPhone” het herhaaldelijk ingeven van een Apple ID + paswoord had moeten blokkeren.
v8x
Slordig van Apple. Op een moment waarop NFC betalen gaat promoten wil je dat de consument vertrouwen in je heeft. En dit helpt dus niet.
Eric
Wie weet hoelang deze exploit al bestaat….. Script staat pas 2 dagen op github, maar wie weet bestaat dit al maanden. Verklaard wel waarom het zo’n grote lijst is met mensen waar ze foto’s van hebben. Veel van die celebs kennen elkaar, en als er maar eentje slachtoffer is dan is het makkelijk om de Apple IDs van veel meer bekende mensen te zoeken door de contacten.
Maximale inlog pogingen overslaan bij zo’n belangrijke service is echt ontzettend slordig.
Nou, ik denk dat ik jouw naaktfoto’s even oversla.
OT: welke tokkie bij Apple over de beveiliging gaat weet ik niet, maar ik zou wellicht eens een keer een auditje doen…
@Eric: twee-staps-verificatie staat bij mij al gelukkig aan.
ronald
Brute force is al zo oud als het internet , een woordenlijst met wachtwoordcombinaties, een flinke lijst met liefst anonieme proxies tegen het geblokkeerd worden na x aantal pogingen en gaan.
Ik kan me niet voorstellen dat Apple daar niet tegen ingedekt is/was.
Leo Punter
Maar dan moet je eerst wel de iCloud id’s weten van al die celebs (email adressen)
Eric
Komop zeg wie maakt er anno 2014 nog gebruik van populaire wachtwoorden,dan vraag je er gewoon om…!
Iets verzinnen met 8-10 letters,hoofdletters en cijfers en dat onthouden is toch niet zo heel moeilijk……
Stel dat je één wachtwoord zou hebben, dan niet nee. Maar voor heel veel sites heb ik bijvoorbeeld wachtwoorden, dan kun je moeilijk heel veel verschillende wachtwoorden gaan onthouden.
Stel dat je één wachtwoord zou hebben, dan niet nee. Maar voor heel veel sites heb ik bijvoorbeeld wachtwoorden, dan kun je moeilijk heel veel verschillende wachtwoorden gaan onthouden.
Je zou lastpass of keepass kunnen overwegen 😉
Eric
@Pieter: Nee bedoel natuurlijk meerdere wachtwoorden,1 wachtwoord voor meerdere accounts,dan ben je helemaal DOM bezig!!
Geen goede zaak. Kan Apple die hackers niet in dienst nemen?
Gelukkig heb ik 2-way authorisation aan staan 🙂
Dat werkt alleen maar voor de appleid.apple.com pagina.. Als iemand je wachtwoord heeft kan die nog steeds bij je backups, data, contacten op icloud.com.
Brute Force? In de readme.md van het script lees ik :”Password list was generated from top 500 RockYou leaked passwords”. Die staan in passlist.txt.
En als ik in id_brute.py kijk dan doet dat script op het eerste zicht toch niet veel meer dan passlist.txt en mails.txt lezen.
Neemt niet weg dat Apple ook in “Find my iPhone” het herhaaldelijk ingeven van een Apple ID + paswoord had moeten blokkeren.
Slordig van Apple. Op een moment waarop NFC betalen gaat promoten wil je dat de consument vertrouwen in je heeft. En dit helpt dus niet.
Wie weet hoelang deze exploit al bestaat….. Script staat pas 2 dagen op github, maar wie weet bestaat dit al maanden. Verklaard wel waarom het zo’n grote lijst is met mensen waar ze foto’s van hebben. Veel van die celebs kennen elkaar, en als er maar eentje slachtoffer is dan is het makkelijk om de Apple IDs van veel meer bekende mensen te zoeken door de contacten.
Maximale inlog pogingen overslaan bij zo’n belangrijke service is echt ontzettend slordig.
Oké, is het aan te raden om mijn wachtwoord te veranderd, of …?
Kan nooit kwaad, vooral niet na dit voorval. Zet ook 2 step verification aan op appleid.apple.com.
Nou, ik denk dat ik jouw naaktfoto’s even oversla.
OT: welke tokkie bij Apple over de beveiliging gaat weet ik niet, maar ik zou wellicht eens een keer een auditje doen…
@Eric: twee-staps-verificatie staat bij mij al gelukkig aan.
Brute force is al zo oud als het internet , een woordenlijst met wachtwoordcombinaties, een flinke lijst met liefst anonieme proxies tegen het geblokkeerd worden na x aantal pogingen en gaan.
Ik kan me niet voorstellen dat Apple daar niet tegen ingedekt is/was.
Maar dan moet je eerst wel de iCloud id’s weten van al die celebs (email adressen)
Komop zeg wie maakt er anno 2014 nog gebruik van populaire wachtwoorden,dan vraag je er gewoon om…!
Iets verzinnen met 8-10 letters,hoofdletters en cijfers en dat onthouden is toch niet zo heel moeilijk……
@Eric:
Stel dat je één wachtwoord zou hebben, dan niet nee. Maar voor heel veel sites heb ik bijvoorbeeld wachtwoorden, dan kun je moeilijk heel veel verschillende wachtwoorden gaan onthouden.
Je zou lastpass of keepass kunnen overwegen 😉
@Pieter: Nee bedoel natuurlijk meerdere wachtwoorden,1 wachtwoord voor meerdere accounts,dan ben je helemaal DOM bezig!!